Mögliche Ursachen für CRL-Validierungsfehler

Mögliche Ursachen für CRL-Validierungsfehler

Was sind die möglichen Ursachen für einen CRL-Validierungsfehler?

Ich betreibe ein Netzwerk mit meiner selbstsignierten CA. Aber seit drei Wochenallemeiner RDP-Clients begannen zu sagen, dass sie die CRL nicht validieren konnten. Ich dachte, der Webserver, der die CRL hostet, sei tot, aber das war nicht der Fall. Ich konnte problemlos auf die CRL zugreifen. Als der Fehler zum ersten Mal auftrat, habe ich absolut nichts mit der CRL gemacht.

Google hat mir kaum einen Hinweis gegeben, die meisten Lösungen bestanden nur darin, die CRL-Validierung abzuschalten. Aber ich möchte das Problem wirklich beheben und es nicht einfach ignorieren. Ich habe versucht, die CRL-Datei neu zu generieren, aber das hat nicht funktioniert.

openssl -gencrl -out crl/crl.pem

Oben ist der Befehl, den ich zum Generieren der CRL verwendet habe, ganz unkompliziert. Das ist genau derselbe Befehl, den ich auch verwendet habe, als ich die erste CRL generiert habe. Aber die diesmal generierte CRL funktioniert nicht.

Worauf sollte ich sonst noch achten?

Antwort1

Das ist das Problem mit SSL-Zertifikaten. Sie müssen nichts tun, damit sie nicht mehr funktionieren. Sie laufen von selbst ab. Sie müssen auch CRLs erneuern. Für Remote Desktop sollten Sie wirklich eine Windows Enterprise CA in einer Active Directory-Domäne verwenden und nicht OpenSSL. Dadurch wird das meiste davon für Sie automatisiert. Ich habe jedoch nicht genug Details, um herauszufinden, was sonst noch mit Ihrem Setup nicht stimmt.

Um Ihre Frage zu beantworten: „Was verursacht CRL-Validierungsfehler?“

Eigentlich nur zwei Dinge. Entweder kann der Client nicht auf den CRL-Verteilungspunkt (CDP) zugreifen oder die CRL ist abgelaufen.

Mit diesem Befehl können Sie die Richtigkeit/Gültigkeit eines Zertifikats (einschließlich der CDPs) überprüfen:

certutil -f –urlfetch -verify mycertificatefile.cer

Verwenden Sie nur HTTP-CDPs oder haben Sie auch LDAP-CDPs? Wenn Sie LDAP-CDPs haben, denken Sie daran, aktualisierte CRLs in Active Directory zu veröffentlichen? Sind Ihre Clients, die versuchen, die LDAP-CDPs zu validieren, Mitglieder derselben Active Directory-Domäne, sodass sie die Berechtigung haben, die CRL aus LDAP zu lesen?

http://blogs.technet.com/b/pki/archive/2006/11/30/basic-crl-checking-with-certutil.aspx

verwandte Informationen